Microsoft Defender for Identity センサーをインストールする
この記事では、スタンドアロン センサーを含むMicrosoft Defender for Identity センサーをインストールする方法について説明します。 既定では、UI を使用することをお勧めします。 しかし:
センサーを Windows Server Core にインストールする場合、またはソフトウェア展開システムを使用してセンサーを展開する場合は、代わりにサイレント インストールの手順に従います。
プロキシを使用している場合は、センサーをインストールし、 コマンド ラインからプロキシを一緒に構成することをお勧めします。 後でプロキシ設定を更新する必要がある場合は、PowerShell または Azure CLI を使用します。 詳細については、「 エンドポイント プロキシとインターネット接続の設定を構成する」を参照してください。
前提条件
開始する前に、次の点を確認してください。
Defender for Identity センサーセットアップ パッケージとアクセス キーのダウンロードされたコピー。
Microsoft .NET Framework 4.7 以降がコンピューターにインストールされています。 Microsoft .NET Framework 4.7 以降がインストールされていない場合は、Defender for Identity センサーセットアップ パッケージによってインストールされます。 セットアップ パッケージからのインストールでは、サーバーの再起動が必要になる場合があります。
関連するサーバー仕様とネットワーク要件。 詳細については、以下を参照してください:
コンピューター上の信頼されたルート証明書。 信頼されたルート CA 署名証明書が見つからない場合は、 接続エラーが発生する可能性があります。
UI を使用してセンサーをインストールする
ドメイン コントローラー、Active Directory フェデレーション サービス (AD FS) (AD FS) サーバー、または Active Directory Certificate Services (AD CS) サーバーで次の手順を実行します。
マシンが関連する Defender for Identity クラウド サービス エンドポイントに接続されていることを確認します。
.zip ファイルからインストール ファイルを抽出します。 .zip ファイルから直接インストールできない。
管理者特権で Azure ATP センサー setup.exe を実行し (管理者として実行)、セットアップ ウィザードに従います。
[ ようこそ ] ページで、使用する言語を選択し、[ 次へ] を選択します。
インストール ウィザードは、サーバーがドメイン コントローラー、AD FS サーバー、AD CS サーバー、または専用サーバーであるかどうかを自動的に確認します。 サーバーの種類によって、センサーの種類が決まります。
- サーバーがドメイン コントローラー、AD FS サーバー、または AD CS サーバーの場合は、Defender for Identity センサーがインストールされます。
- サーバーが専用の場合は、Defender for Identity スタンドアロン センサーがインストールされます。
たとえば、ウィザードには次のページが表示され、Defender for Identity センサーがドメイン コントローラーにインストールされていることを示します。
[次へ] を選択します。
ドメイン コントローラー、AD FS サーバー、AD CS サーバー、または専用サーバーがインストールの最小ハードウェア要件を満たしていない場合、ウィザードは警告を発行します。
この警告は、[ 次へ ] を選択してインストールを続行することを妨げるのではなく、適切なオプションである可能性があります。 たとえば、小規模なラボ テスト環境をインストールする場合、データ ストレージのスペースを減らす必要があります。
運用環境では、 Defender for Identity サイズ設定ツール を使用して、ドメイン コントローラーまたは専用サーバーが容量要件を満たしていることを確認することを強くお勧めします。
[ センサーの構成] ページで、セットアップ パッケージの次の情報を入力します。
-
インストール パス: Defender for Identity センサーがインストールされている場所。 既定では、パスは
%programfiles%\Azure Advanced Threat Protection sensor。 既定値のままにします。 - アクセス キー: 前の手順でMicrosoft Defender ポータルから取得しました。
-
インストール パス: Defender for Identity センサーがインストールされている場所。 既定では、パスは
[インストール] を選択します。 Defender for Identity センサーのインストール中に、次のコンポーネントがインストールおよび構成されます。
Defender for Identity センサー サービス と Defender for Identity センサー アップデーター サービス
Npcap OEM バージョン 1.0
重要
Npcap OEM バージョン 1.0 は、他のバージョンの Npcap が存在しない場合に自動的にインストールされます。 他のソフトウェア要件またはその他の理由で Npcap が既にインストールされている場合は、バージョン 1.0 以降であり、 Defender for Identity に必要な設定があることを確認してください。
センサーバージョンの表示
センサー バージョン 2.176 以降では、新しいパッケージからセンサーをインストールすると、[ プログラムの追加と削除 ] の下のバージョンに、 2.176.x.y などの完全な番号が表示されます。以前は、バージョンは静的 2.0.0.0 として表示されました。
Defender for Identity クラウド サービスが自動更新を実行した後も、インストールされているバージョンは引き続き表示されます。
[Microsoft Defender XDR センサー設定] ページ、実行可能パス、またはファイル バージョンで、センサーの実際のバージョンを表示します。
Defender for Identity サイレント インストールを実行する
センサーの Defender for Identity サイレント インストールは、必要に応じて、インストールの最後にサーバーを自動的に再起動するように構成されます。
メンテナンス期間中にのみサイレント インストールをスケジュールします。 Windows インストーラーのバグのため、 norestart フラグを確実に使用してサーバーが再起動しないようにすることはできません。
デプロイの進行状況を追跡するには、 %localappdata%\Tempで Defender for Identity インストーラー ログを監視します。
展開システムを使用したサイレント インストール
System Center Configuration Managerまたは別のソフトウェア展開システムを使用して Defender for Identity センサーをサイレント 展開する場合は、次の 2 つの展開パッケージを作成することをお勧めします。
- .NET Framework 4.7 以降。ドメイン コントローラーの再起動が含まれる場合があります
- Defender for Identity センサー
Defender for Identity センサー パッケージは、.NET Framework パッケージの展開に依存します。 必要に応じて、.NET Framework 4.7 オフライン デプロイ パッケージを取得します。
サイレント インストールを実行するためのコマンド
前の手順でコピーしたアクセス キーを使用して、Defender for Identity センサーの完全サイレント インストールを実行するには、次のコマンドを使用します。
cmd.exe 構文
"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>"
PowerShell 構文
.\"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>"
注:
PowerShell 構文を使用している場合、先頭の .\ を省略すると、サイレント インストールを妨げるエラーが発生します。
インストール オプション
| 名前 | 構文 | サイレント インストールに必須ですか? | 説明 |
|---|---|---|---|
Quiet |
/quiet |
はい | UI またはプロンプトを表示せずにインストーラーを実行します。 |
Help |
/help |
いいえ | ヘルプとクイック リファレンスを提供します。 すべてのオプションと動作の一覧を含む、セットアップ コマンドの正しい使用方法を表示します。 |
NetFrameworkCommandLineArguments="/q" |
NetFrameworkCommandLineArguments="/q" |
はい | .NET Frameworkインストールのパラメーターを指定します。 .NET Frameworkのサイレント インストールを適用するように設定する必要があります。 |
インストール パラメーター
| 名前 | 構文 | サイレント インストールに必須ですか? | 説明 |
|---|---|---|---|
InstallationPath |
InstallationPath="" |
いいえ | Defender for Identity センサー バイナリのインストールのパスを設定します。 既定のパス: %programfiles%\Azure Advanced Threat Protection Sensor。 |
AccessKey |
AccessKey="\*\*" |
はい | Defender for Identity センサーを Defender for Identity ワークスペースに登録するために使用するアクセス キーを設定します。 |
AccessKeyFile |
AccessKeyFile="" |
いいえ | 指定されたテキスト ファイル パスからワークスペース アクセス キーを設定します。 |
DelayedUpdate |
DelayedUpdate=true |
いいえ | 各サービス更新プログラムの公式リリースから 72 時間更新を遅らせるセンサーの更新メカニズムを設定します。 詳細については、「 遅延センサーの更新」を参照してください。 |
LogsPath |
LogsPath="" |
いいえ | Defender for Identity センサー ログのパスを設定します。 既定のパス: %programfiles%\Azure Advanced Threat Protection Sensor。 |
例
Defender for Identity センサーをサイレント インストールするには、次のコマンドを使用します。
"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<access key value>"
"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKeyFile="C:\Path\myAccessKeyFile.txt"
プロキシ構成を使用してサイレント インストールを実行するためのコマンド
サイレント インストールと共にプロキシを構成するには、次のコマンドを使用します。
"Azure ATP sensor Setup.exe" [/quiet] [/Help] [ProxyUrl="http://proxy.internal.com"] [ProxyUserName="domain\proxyuser"] [ProxyUserPassword="ProxyPassword"]`
注:
WinINet やレジストリ キーの更新など、従来のオプションを使用してプロキシを以前に構成した場合は、最初に使用したのと同じ方法で変更を加える必要があります。 詳細については、「 レガシ メソッドを使用してプロキシ構成を変更する」を参照してください。
インストール パラメーター
| 名前 | 構文 | サイレント インストールに必須ですか? | 説明 |
|---|---|---|---|
ProxyUrl |
ProxyUrl="http://proxy.contoso.com:8080" |
いいえ | Defender for Identity センサーのプロキシ URL とポート番号を指定します。 |
ProxyUserName |
ProxyUserName="Contoso\ProxyUser" |
いいえ | プロキシ サービスで認証が必要な場合は、 DOMAIN\user 形式でユーザー名を定義します。 |
ProxyUserPassword |
ProxyUserPassword="P@ssw0rd" |
いいえ | プロキシ ユーザー名のパスワードを指定します。 Defender for Identity センサーは資格情報を暗号化し、ローカルに格納します。 |
ヒント
後でプロキシ設定を更新する必要がある場合は、PowerShell または Azure CLI を使用します。 詳細については、「 エンドポイント プロキシとインターネット接続の設定を構成する」を参照してください。 プロキシ サーバーのカスタム DNS A レコードを作成して使用することをお勧めします。 その後、そのレコードを使用して、必要に応じてプロキシ サーバーのアドレスを変更し、 テストに hosts ファイルを使用できます。
関連コンテンツ
センサーをインストールした後、追加の手順に従うことができます。
AD FS または AD CS サーバーにセンサーをインストールした場合は、「 インストール後の手順 (省略可能)」を参照してください。
スタンドアロン センサーをインストールした場合は、次を参照してください。